Horváth Barnabás

Céljai

Működése

Védelmi intézkedések

Hozzájutás

Fertőzött vírusterjesztő oldalra irányítás ◦ e-mailben csatolt fájlokkal: jpg, zip

Vodafone-os e-mail

bankszámla kivonatok

állás ajánlatok (LinkdIn)

◦ közösségi oldalakon

megdöbbentő post

◦ rajongói oldalakon

rég várt hír

◦ linkre kattintás

.

Fertőzött vírusterjesztő oldal

.

Windows

Symbian, BlackBerry, Android

Mac OS X, Linux

.

2007. július: ◦ USA Közlekedési Minisztériuma

2009. június: ◦ több mint 74,000 fertőzött FTP kliens

(Bank of America, NASA, Oracle, Cisco, Amazon)

2011. május: ◦ Zeus forráskódja kiszivárog

tömeges terjedés

számtalan verzió

Banki vagy egyéb érzékeny személyes adatok ellopása

.

2012

.

Frissítés ◦ Központi vezérlő szerverrel (C&C)

amíg aktív

◦ P2P

C&C szerver továbbra is aktív

gyorsabb információ csere

szerver lekapcsolása nem okoz gondot

elrejti a támadót

.

DGA (Domain Generation Algorithm) ◦ fix domain név lista

C&C szerverek elérése

1000 bejegyzés

◦ ezek alapján fekete lista

◦ kapcsolati probléma -> DGA

DGA (Domain Generation Algorithm) ◦ napi 1000 bejegyzést generál

◦ .ru, .biz, .info, .org, .net, .com

◦ támadók ismerik, hogy melyik nap hogy néz ki a lista

◦ ha szükséges ezekből tudnak új domain nevet regisztrálni

◦ Helyreállt kapcsolat

új peer lista letöltése

peer lista hamisítása

RSA-2048 aláírással hitelesítve

Frissítések begyűjtése ◦ C&C szerver RSA-2048 aláírást használ

Utasítások begyűjtése ◦ "WebFilters"

honnan és milyen adatokat gyűjtsön

◦ "Webinjects"

mit csináljon az összegyűjtött adatokkal

◦ hová kell elküldeni a megszerzett információkat ◦ DDoS

.

"Webinjects"

DDoS

Logging ◦ key logger (nem túlzottan kifinomult)

◦ clipboard logging

◦ screen capture

◦ video

Form Grabbing ◦ csak a kitöltött form mezőit jegyzi fel

IP cím

URL

◦ onsubmit event loggolása

◦ küldés és titkosítás előtt

◦ cookie-k törlése

Web injection (megbízható márkák felhasználása) ◦ Facebook

◦ Gmail

◦ Yahoo!

Web injection ◦ form kiegészítése

◦ figyelmeztetések törlése

Web injection ◦ sms-ben kapott kód megszerzése

Web injection

JavaScript

var links = document.links;

for(i in links) {

links[i].onclick = function(){

this.href = 'http://bit.ly/141nisR';

};

}

http://bilaw.al/2013/03/17/hacking-the-a-tag-in-100-characters.html

.

adatok elküldése (valós időben)

adatokkal automatikus műveletek végrehajtása ◦ belépés

◦ maximális utalható összeg meghatározása

◦ átutalás

ID | típus | méret | tömörítetlen méret | adat

Konzolos parancsok

Grafikus irányítás RDP (Remote Desktop Protocol)

DDoS

Banki oldalon ◦ authenticator token

eltéríti a tokent a támadó felé

◦ jóváhagyás telefonon

DoS támadás a telefonközpont ellen

bank nem tudja elérni az ügyfelét

◦ visszaigazoló SMS

legálisan kezdeményezett utalás célpontjának és összegének módosítása + figyelmetlenség

man-in-the-mobile verzió blokkolja/eltéríti az SMS értesítést

Felhasználói oldalon ◦ napra kész vírusirtó, windows

gyors (napi) frissítések (régebbi verziókat legalább megtalálja)

DLL fájlok visszafejtése a memóriában

windows és a vírusirtók frissítésének blokkolása

◦ bizalmatlanság, óvatosság

◦ eltávolító programok (?)

képes újratelepíteni magát

◦ újratelepítés.

Felhasználói oldalon

Felhasználói oldalon

saját példány írása

forráskód átírása

megvehető (védettséget is biztosít) ◦ 45-500$

◦ 2000-3000$

◦ 8000-10000$

Citadel ◦ alap csomag: 2400 dollár

+125 dollár havi frissítési díj

◦ felhasználói felület

◦ részletes útmutató

◦ ügyfélszolgálat: hétfőtől péntekig 10:00-tól 00:30-ig

◦ licenc feltételekről szóló dokumentum

◦ szavazni lehet az új modulokról

◦ fejlesztői szolgáltatások

◦ tartalmaz saját vírusirtó modult

◦ orosz és ukrán billentyűzet detektálás (használj orosz billentyűzetet…)

.

http://www.few.vu.nl/~da.andriesse/papers/zeus-tech-report-2013.pdf

http://bilaw.al/2013/03/17/hacking-the-a-tag-in-100-characters.html

http://www.secureworks.com/cyber-threat-intelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/

http://www.cert.pl/PDF/2013-06-p2p-rap_en.pdf

http://biztonsagportal.hu/feltamadt-az-egyik-legnagyobb-kartekony-halozat.html

http://www.antivirushaz.hu/boldog-husveti-unnepeket/

http://en.wikipedia.org/wiki/Zeus_(Trojan_horse)